5.3. Benutzerkonto-Vorlagen#

Benutzerkonto-Vorlagen in Nubus bieten ein mächtiges Framework zur Standardisierung der Erstellung von Benutzerkonten für verschiedene Organisationsrollen. Diese Seite richtet sich an funktionale Administratoren, die Benutzerkonten verwalten und für verschiedene Zwecke erstellen. Sie beschreibt, wie Sie Benutzerkonto-Vorlagen über das LDAP-Verzeichnis Verwaltungsmodul definieren. Die Seite erkundet das Spektrum verfügbarer Benutzerattribute. Sie demonstriert erweiterte Syntax-Funktionen einschließlich Umwandlung von Groß-/Kleinschreibung, Zeichenfilterung und Teilzeichenketten-Extraktion. Diese Funktionen helfen Ihnen dabei, dynamische, wiederverwendbare Vorlagen zu erstellen, die Sie während der Erstellung von Benutzerkonten im Benutzer Modul verwenden. Diese Seite hat die folgenden Abschnitte:

Um Benutzerkonto-Vorlagen zu verwalten, müssen Sie das LDAP-Verzeichnis Verwaltungsmodul öffnen. Sie finden das Modul im Abschnitt Domäne in der Management UI.

Um eine Vorlage während der Erstellung eines Benutzerkontos auszuwählen, müssen Sie mindestens eine Vorlage definiert haben. Abb. 5.3 zeigt, wo Sie die Benutzerkonto-Vorlage während der Erstellung eines Benutzerkontos auswählen.

Eine Benutzerkonto-Vorlage während der Benutzerkonto-Erstellung auswählen

Abb. 5.3 Eine Benutzerkonto-Vorlage während der Benutzerkonto-Erstellung auswählen#

5.3.1. Benutzerkonto-Vorlage erstellen#

Um eine Benutzerkonto-Vorlage zu erstellen, verwenden Sie folgende Schritte:

  1. Öffnen Sie das LDAP-Verzeichnis Verwaltungsmodul.

  2. Navigieren Sie zu univention ‣ templates in der Container-Struktur auf der linken Seite und wählen Sie templates.

  3. Um eine Benutzervorlage zu erstellen, klicken Sie Hinzufügen und wählen den Objekttyp Einstellungen: Benutzervorlage

5.3.2. Verfügbare Benutzerkonto-Attribute#

Dieser Abschnitt listet die Attribute für Benutzerkonten auf, die standardmäßig in Nubus verfügbar sind.

Abhängig von Ihrer Umgebung und zusätzlichen Komponenten kann Ihre Umgebung weitere Attribute für Benutzerkonten haben. Sie finden auch eine Beschreibung, wie Sie die Liste für Ihre Umgebung abrufen können.

Liste verfügbare Attribute, unabhängig von der Installation

In einer Standardinstallation von Nubus, unabhängig vom Installationsziel wie Kubernetes oder UCS, hat das Benutzerkonto die Attribute wie in Quellcode 5.1 gezeigt. Eine Beschreibung der jeweiligen Attribute finden Sie unter Benutzer Modul.

Zusätzliche Komponenten können weitere Attribute hinzufügen. Um die vollständige Liste der Attribute abzurufen, siehe die folgenden Anweisungen für Ihre jeweilige Installation.

Quellcode 5.1 Verfügbare Benutzerattribute in Nubus#
users/user variables:
  General:
	User account
		title
		firstname
		lastname
		username
		description
		overridePWHistory
		overridePWLength
		mailPrimaryAddress
	Personal information
		displayName
		birthday
		jpegPhoto
	Organisation
		organisation
		employeeNumber
		employeeType
		secretary
  Groups:
	Primary group
		primaryGroup
	Additional groups
		groups
  Account:
	Deactivation
		disabled
		userexpiry
	Locked login
		pwdChangeNextLogin
		passwordexpiry
		unlock
		unlockTime
	Activation
		accountActivationDate
	Windows
		homedrive
		sambahome
		scriptpath
		profilepath
		sambaRID
		sambaPrivileges
		sambaLogonHours
		sambaUserWorkstations
	POSIX (Linux/UNIX)
		unixhome
		shell
		uidNumber
		gidNumber
		homeShare
		homeSharePath
  Mail:
	Advanced settings
		mailAlternativeAddress
		mailHomeServer
	Mail forwarding
		mailForwardCopyToSelf
		mailForwardAddress
  Contact:
	Business
		e-mail
		phone
		roomNumber
		departmentNumber
		street
		postcode
		city
		state
		country
	Private
		homeTelephoneNumber
		mobileTelephoneNumber
		pagerTelephoneNumber
		homePostalAddress
  Apps:
  UMC preferences:
	UMC preferences
		umcProperty
  Certificate:
	General
		userCertificate
	Subject
		certificateSubjectCommonName
		certificateSubjectMail
		certificateSubjectOrganisation
		certificateSubjectOrganisationalUnit
		certificateSubjectLocation
		certificateSubjectState
		certificateSubjectCountry
	Issuer
		certificateIssuerCommonName
		certificateIssuerMail
		certificateIssuerOrganisation
		certificateIssuerOrganisationalUnit
		certificateIssuerLocation
		certificateIssuerState
		certificateIssuerCountry
	Validity
		certificateDateNotBefore
		certificateDateNotAfter
	Misc
		certificateVersion
		certificateSerial
  Guardian:
		guardianRoles
		guardianInheritedRoles
  Password recovery:
		DeregistrationTimestamp
		DeregisteredThroughSelfService
		RegisteredThroughSelfService
		PasswordRecoveryEmailVerified
		PasswordRecoveryMobile
		PasswordRecoveryEmail
So rufen Sie die Liste verfügbarer Attribute ab

Die folgenden Schritte beschreiben, wie Sie die Liste der Benutzerkonto-Attribute abrufen, die in Ihrer Umgebung verfügbar sind und von Ihrer Installation abhängen.

Öffnen Sie eine Shell auf einem Nubus für UCS System und führen Sie den Befehl in Quellcode 5.2 aus. Schauen Sie sich die Ausgabe ab users/user variables an.

Quellcode 5.2 Verfügbare Attribute für ein Benutzerkonto anzeigen#
$ univention-director-manager users/user

Um die verfügbaren Attribute für ein Benutzerkonto in Nubus für Kubernetes abzurufen, müssen Sie die UDM HTTP REST API verwenden.

Der Zugriff auf die UDM HTTP REST API erfordert entweder, dass die API von außerhalb des Kubernetes Clusters erreichbar ist, oder dass Sie die entsprechenden Berechtigungen haben, um über kubectl auf den Cluster zuzugreifen und vorübergehend eine Port-Weiterleitung zu öffnen. Falls Sie nicht über die entsprechenden Berechtigungen verfügen, fragen Sie Ihren Operator, die Liste der verfügbaren Attribute zu erstellen, indem er den Anweisungen folgt.

Für einen vorübergehenden Zugang über Port-Weiterleitung gehen Sie wie folgt vor:

  1. Aktivieren Sie den Zugriff auf die UDM HTTP REST API von außerhalb des Kubernetes Clusters. Siehe UDM HTTP REST API in Univention Nubus for Kubernetes - Nubus Customization and Modification Manual [4].

    Für temporären Zugriff können Sie Port-Weiterleitung von kubectl verwenden. Um Port-Weiterleitung zu aktivieren, verwenden Sie die Befehle in Quellcode 5.3. Dies ermöglicht den Zugriff auf die UDM HTTP REST API über Ihren lokalen Port 8888. Sie müssen keinen Zugriff auf die REST API von außerhalb Ihres Clusters öffnen, um einige Werte nachzuschlagen.

    Quellcode 5.3 Zugriff auf UDM HTTP REST API über lokales Port-Weiterleitung#
    $ export NAMESPACE_FOR_NUBUS="Set to your Kubernetes namespace"
    $ kubectl port-forward \
       --namespace "$NAMESPACE_FOR_NUBUS" \
       services/nubus-udm-rest-api \
       8888:9979
    
  2. Öffnen Sie das interaktive OpenAPI-Schema, siehe API location. Navigieren Sie zum Abschnitt users/user.

    Wenn Sie lokales Port-Weiterleitung verwenden, lautet die URL http://localhost:8888/udm/schema/.

  3. Für die verfügbaren Attribute siehe das Schema der users/user-Eigenschaften in der POST-Request-Methode. Die Example Value Auflistung zeigt die verfügbaren properties mit ihrem Schlüssel und Werttyp.

5.3.3. Wert-Syntax in einer Benutzerkonto-Vorlage#

Wenn Sie eine Benutzerkonto-Vorlage zum Erstellen eines Benutzerkontos verwenden, überschreibt die Vorlage alle Attribute mit den voreingestellten Werten der Vorlage. Für ein leeres Attribut in der Benutzerkonto-Vorlage setzt Nubus das Attribut auf den Wert "".

In einer Benutzerkonto-Vorlage können Sie entweder feste Werte definieren, zum Beispiel für die Adresse, oder auf ein anderes Attribut in der Benutzerverwaltung verweisen. Benutzerkonto-Vorlagen unterstützen die folgende Syntax für Attributwerte:

<,>

Verwenden Sie spitze Klammern <,>, um Attribute zu referenzieren oder Syntax-Funktionen zu verwenden.

<:lower>, <:upper>

Um Attributwerte mit <:lower> in Kleinbuchstaben oder mit <:upper> in Großbuchstaben zu konvertieren.

Beispiele
  • Ein Attribut in Kleinbuchstaben konvertieren: <firstname:lower>.

  • Das gesamte Feld in Kleinbuchstaben konvertieren: <lastname>@company.com<:lower>.

<:umlauts>

Um Sonderzeichen wie è, ä oder ß in entsprechende ASCII-Zeichen zu konvertieren, verwenden Sie <:umlauts>.

<:alphanum>

Um nicht-alphanumerische Zeichen wie ` (Backtick) oder # (Hash) zu entfernen, verwenden Sie <:alphanum>. Wenn Sie die :alphanum-Funktion auf das gesamte Attribut anwenden, entfernt sie alle nicht-alphanumerischen Zeichen, sogar das @ in E-Mailadressen. Um dieses Verhalten zu vermeiden, wenden Sie die Funktion nur auf Attributreferenzen an oder fügen Sie die Zeichen zur Liste erlaubter Zeichen hinzu.

Sie können eine Liste erlaubter Zeichen definieren, die :alphanum ignoriert, über die UCR-Variable directory/manager/templates/alphanum/whitelist. Der Standardwert ist "".

Um eine Liste erlaubter Zeichen in Nubus für Kubernetes zu definieren, die :alphanum ignoriert, verwenden Sie die folgenden Schritte:

  1. Fügen Sie die global.configUcr.directory.manager.templates.alphanum.whitelist Helm Chart-Variable zu Ihrer custom_values.yaml Datei hinzu und weisen Sie die Zeichen zu. Der Standardwert ist "".

  2. Um Ihre Änderungen zu aktivieren, aktualisieren Sie Ihre Nubus Installation über helm, indem Sie die Schritte in Apply configuration in Univention Nubus for Kubernetes - Operation Manual [1] befolgen.

  3. Um die Änderungen zu übernehmen, müssen Sie den UMC Server Pod neu starten, wie in Restart UMC Server pod in Univention Nubus for Kubernetes - Operation Manual [1] beschrieben.

<:strip>, <:trim>

Alle führenden und nachfolgenden Leerzeichen aus der Zeichenkette entfernen.

Teilzeichenketten

Verwenden Sie eckige Klammern [,], um eine Teilzeichenkette eines Werts oder nur ein Zeichen abzurufen. Die Indexzählung beginnt bei 0, sodass der Index 1 dem zweiten Zeichen eines Attributwerts entspricht. Zum Beispiel <firstname>[0], <firstname>[2:5].

Funktionen kombinieren

Sie können Funktionen kombinieren, zum Beispiel <:umlauts,upper>.

Wichtig

Die Benutzerkonto-Vorlage erlaubt Substitutionen für jeden Wert. Es gibt jedoch keine Syntax- oder Semantikprüfung. Leere Attributwerte geben eine leere Zeichenkette zurück.

Beispiel

Nehmen Sie die Felddefinition <firstname>.<lastname>@example.com für eine E-Mailadresse an.

Wenn Sie die Benutzerkonto-Vorlage zum Erstellen eines Benutzerkontos verwenden und keinen Vornamen angeben, beginnt die E-Mailadresse mit einem Punkt und führt zu einer ungültigen E-Mailadresse gemäß dem E-Mail-Standard.

Ähnliche Fehlerquellen sind zum Beispiel Dateipfade. Nubus entfernt unauflösbare Attribute aus einem Feld, wie Tippfehler in der Vorlage.